MikroTik Releases a Belated, Half-Working Patch to Fix an Old Vulnerability

拉脫維亞路由器軟件和硬件製造商MikroTik修復了自2018年4月以來一直在其路由器操作系統設備中處於休眠狀態的漏洞。該漏洞與處理IPv6數據包時出現的內存耗盡問題有關，實際上允許外部人員對MikroTik進行DDoS攻擊路由器通過部署相對少量的IPv6數據包。

儘管MikroTik的專家在過去的12個月裡已經意識到這個問題，但直到上週他們才終於修補了這個問題。延遲可能是由於兩個主要原因。首先，該問題僅影響在其基於RouterOS的設備中手動激活IPv6功能的用戶。默認情況下禁用該功能，這意味著稱為CVE-2018-19299的內存耗盡錯誤只能產生有限的影響。其次，據報導內存洩漏發生在內核級別，除非MikroTik開發出全新的操作系統，否則幾乎無法解決。

幸運的是，補丁現在已成為事實，建議MikroTik的客戶盡快將其路由器操作系統升級到新的6.43.14長期版本。對於依賴Mikrotik設備的所有網絡運營商而言，這無疑是個好消息。然而，Faelix的首席技術官馬雷克·伊薩爾斯基（Marek Isalski）發現這個補丁只對那些運行128MB或更多RAM的MikroTik路由器有用。換句話說，如果您的MikroTik RouterOS設備具有64 MB或更低的RAM，它仍然有可能成為DDoS攻擊的犧牲品。拉脫維亞供應商已承諾在未來的RouterOS測試版中優化其低RAM硬件。然而，當這個測試版到來時，目前仍不清楚。在此之前，禁用IPv6功能仍然是最好的防線。

有趣的是，Isalski幾乎在一年前首次發現了MikroTik的IPv6漏洞。